[B! security] Cherenkovのブックマーク

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

はじめにセキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。本ブログは、2024 年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか？従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること

Cherenkov 2024/05/30

xss
security

リンク

弊社サービスをご利用いただいているお客様への重要なご報告とお詫び - Workstyle Tech

2024年3月29日お客様各位ワークスタイルテック株式会社弊社サービスをご利用いただいているお客様への重要なご報告とお詫びこのたび、弊社のサービス﹁WelcomeHR﹂におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました︵以下﹁本件﹂といいます。︶。その内容と現在の状況について、下記のとおり、お知らせいたします。お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。 1. 本件の概要本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっ

Cherenkov 2024/03/30

WelcomeHR Workstyle Tech 社長 Gustavo Dore

リンク

Polyfill .ioが中国企業に売却　背景と対応策は？ - ろぼいんブログ

Web開発者たちにとって、ブラウザー間の互換性問題は長年にわたり頭痛の種となっています。そんな中、Polyfill.ioは多くの開発者にとって救世主のような存在でした。しかし、この度Polyfill.ioは中国企業のFunnullに売却されたことが明らかになり、開発者コミュニティーに波紋を広げています。この記事では、Polyfill.ioの売却について、またWeb開発者が取るべき対策について詳しく解説します。 Polyfill.ioとは？画像‥Polyfill.ioの公式サイト Polyfill.ioは、ブラウザー間の互換性問題を解決するためのサービスです。具体的には、各リクエストのUser-Agentヘッダーを読み取り、リクエストを送信しているブラウザーに適したポリフィルを提供します。ポリフィルとは、古いブラウザーで新しいブラウザーの機能をエミュレートするためのコードのことです

Cherenkov 2024/02/28

リンク

Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita

最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。手短に X(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示されるドメインとは違うページにリンクさせる手法が存在するこの手法は第三者のTwitterカードを利用することができるつまり悪用者は第三者のTwitterカードを表示させながら自身の意図するページに閲覧者を誘導することができるこれはフィッシングの手法になりうる見つけたツイート以下のツイートはGoogle、Bloomberg、日経ビジネスのTwitterカードが添付されているがクリックするとそれらとは異なる情報商材サイトにジャンプする。リンク先に危険な仕組みはないと思われるがクリックは自己責任で。念を入れたい人は curl -L　で。 PCブラウザでカーソルを合わせてもXの短縮URLサービスであ

Cherenkov 2023/12/07

リンク

"security.txt" についてまとめみた

CISSPの継続学習で知ったので忘却録としてまとめました。 security.txtとは security.txtとは、IETFが提唱している、ウェブサイトにセキュリティポリシーやサイトの脆弱性を発見したときの連絡先を記載するための標準で、robots.txt、ads.txt、humans.txtと同じようにテキスト形式で記載します。投稿当時︵2021/10/22︶では、第12版のドラフトまで完成していますが、近くRFC化される見込みです。 (2023/11/1:更新) RFC 9116としてRFC化されました。設定の効果独自開発したWebサイトなどの脆弱性︵XSSやSQLインジェクション等︶の報告先を独自に設定することができます。したがって、いままでJPCERT/CCなどに報告する必要がある情報を作り手に直接連絡できるため、スピード感がある対応できると見込まれています。ただし、表

Cherenkov 2023/12/06

security

リンク

オートバックスのDMにあるQRコードにアクセスしたら詐欺サイトに飛ばされてクレカ決済されてしまった「QRコードを乗っ取られた？」

チラ裏編集長🐧 @chiraura_yrc オートバックスのDMにある「新しいオートバックス会員制度リニューアル」QRコードにアクセスしたらカード情報等入力画面になったので入力したら海外サイトに登録したことになってて調べてる間に決済されてしまいました。 pic.twitter.com/iJJPiLJpss 2023-11-10 20:19:15

Cherenkov 2023/11/12

リンク

「NauNau」230万人以上位置情報など外部から閲覧可能な状態に | NHK

若い世代を中心に人気の位置情報共有アプリ﹁NauNau﹂で、一時、少なくとも200万人以上のユーザーの位置情報やチャットなどが外部から閲覧できる状態になっていたことがわかりました。会社側は事実を認め、アプリのサービス提供を21日から一時、停止するとともに、今後、第三者機関による調査を行う考えを示しました。 230万人分以上の位置情報やチャット履歴が友人などの居場所をリアルタイムで共有し、チャット機能なども利用できる位置情報共有アプリ﹁NauNau﹂は、去年9月にサービスを開始し、開発した会社の﹁Suishow﹂によりますと、現在はダウンロード数が450万件を超える若い世代などに人気のアプリです。しかし、複数の関係者によりますと、このアプリはサービス開始の時点からセキュリティー対策が不十分で、少なくとも230万人分以上のユーザーの位置情報やチャット上のやりとりの履歴などが一時、一定のI

Cherenkov 2023/10/22

リンク

TAR、RAR、7z……「エクスプローラー」で解凍できる形式が拡充、正式に提供開始／「Windows 11 バージョン 22H2」の2023年9月プレビューパッチ「KB5030310」で

Cherenkov 2023/09/28

脆弱性あるに決まってるのによくやるな

リンク

貿易額21兆円の港がダウンした日 | NHK | WEB特集

7月の初旬、朝8時。25トンのコンテナを積んだトレーラーが、いつものように搬入先の名古屋港を訪れた。しかし、港の入り口のゲートは閉じたまま。8時間待ったが、この日、開くことはなかった。運転手の男性がこの仕事に就いてから7年、全く初めてのことだった。別の輸送会社は、30年近く前の阪神・淡路大震災以来の﹁決断﹂を迫られた。コンテナの搬入先を別の港へと切り替えるため50社の取引先に頭を下げ、手続きに忙殺された。貿易総額は年間およそ21兆円。取り扱い貨物量で日本一の名古屋港。海の物流の大動脈を混乱に陥れたサイバー攻撃、その深層に迫る。7月4日。名古屋市のトレーラー運転手、安井隆師さんは、新人とコンテナの搬入のため、名古屋港に向かっていた。受付開始前の午前8時ごろに到着。ゲートには、すでに多くのトレーラーが列をなしていた。この仕事について7年の安井さんにとって、見慣れた風

Cherenkov 2023/09/06

名古屋港

security
nhk

リンク

GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog

はじめにこんにちは。株式会社Flatt Security セキュリティエンジニアの森(@ei01241)です。最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。﹁Googleアカウント/Twitter/Facebookでログイン﹂などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです！⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記

Cherenkov 2023/07/24

OpenID Connect

security

リンク

手順書の記載ミスで発生したJR東日本のシステム障害についてまとめてみた - piyolog

2023年6月26日、JR東日本は6月24日に発生したシステム障害の原因が電源工事の操作手順に誤りだったと公表しました。システム障害の影響により、Webページの閲覧不可やモバイルSuicaのアプリが利用できないなどが生じました。ここでは関連する情報をまとめます。4つのシステムに最大半日の影響システム障害は2023年6月24日0時37分頃発生。電源供給断により各システムのサーバーが停止しシステムの異常を知らせるアラートが相次ぎ発報。*1 夜間処理中に強制的な停止が生じたことで、ハード故障、データ不整合が発生。JR東日本は次の4つのシステムに電源断の影響が及んだとしている。影響を受けたシステム障害発生時間障害発生による具体的な影響 JR東日本Webシステム 2023年6月24日0時37分～6時33分 Webサイトの閲覧不可ビューカードシステム 2023年6月24日0時37分～9時2

Cherenkov 2023/07/08

> 工事手順書の誤りはブレーカーを落とす対象の盤の指定記載であり、「盤NO6（CV6）」が正しいところ、「盤NO6（CV4）」と記載していた

リンク

指名（オファー）情報の第三者による閲覧の可能性に関するお詫びとお知らせ｜転職ドラフトReport

この度、当社の運営する﹁転職ドラフト﹂上において、ご利用に関する一部のデータがHTMLソース上にて第三者による閲覧が可能な状態であったことが、2023年5月31日に判明いたしました。判明した同日中に、閲覧が可能であった対象情報・HTMLソースの特定、及び閲覧ができない状態とする対応を完了しております。また、本件を公表するにあたっての影響範囲の調査と対応を行い、2023年6月17日に完了しております。閲覧が可能な状態であった情報について、一部のユーザー様におかれては氏名の表記が含まれていましたこと、いずれにせよ、公開されないことを前提とした指名︵オファー︶情報が第三者に閲覧され得る状態となってしまっていたことの重大性に鑑み、より信頼されるサービス創りを目指していくため、以下のとおり、皆さまにお知らせすることといたしました。なお、今回の事象について、2023年6月2日付で管轄である総務

Cherenkov 2023/06/19

転職ドラフト

security

リンク

脆弱性を探す話 2023 - Qiita

最近年2回のサイボウズ以外はほぼバグバウンティしていない現状であるが、やる気が起きたときようにメモ主にWebアプリに関すること診断と自分で勝手に脆弱性を探す行為との違い網羅性は全く必要ない診断は網羅してないと怒られることがあるが好きな脆弱性だけ探せる。期間が永遠診断期間は自由なので後で気づいて頭を抱えることはない攻撃に到るまでを説明する必要がある「バージョンが古いのでダメです」だけでは許してもらえない変なことすると逮捕される可能性がある無闇にツール回すと不正アクセス禁止法に引っかかるのでだがしかし海外勢は法律の違いもあるのか好きなサイトに気軽にツールを回すので太刀打ちできない日本人としては許可されたところかローカルに環境作って攻撃するのが心理的安全性が高い 2023年度の傾向コモディティ化が進む自分だけしか知らないような脆弱性はないまだ知られていない手法もほぼ

Cherenkov 2023/05/14

security
xss

リンク

フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita

ゴールデンウィークのはじめ（4月29日）に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。我が名はアシタカ！スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい！ pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸浩 (@ockeghem) April

Cherenkov 2023/05/09

リンク

Winnyは“暗号の使い方”がおかしかった　通信解析でわかった鍵交換・ファイル交換の挙動

映画﹃Winny﹄の公開に伴い、記憶から消えかけている20年前の諸々の思い出話をする﹁Winnyとは何だったのか v2.0b7.1﹂。ここで杉浦氏が登壇。Winnyを解析してわかったことと、当時リリースしたサービスについて紹介します。 Winnyの解析をしていた杉浦氏杉浦隆幸氏︵以下、杉浦︶‥杉浦です。今日は﹁Winny解析技術と﹂ということで、︵Winnyを︶解析した当初︵のこと︶を思い出して話そうと思います。自己紹介ですが、Winnyの暗号技術を解読した人ということで。今日はそれで十分かと思います。当時の趣味は通信の解析で、いろいろな通信を解析していました。楽しかったです。映画﹃Winny﹄を、2月14日に舞台挨拶付きの試写会で観てきました。非常に楽しかったので、今日の発表はその伏線も入れたものとなります。 Winnyの登場、そして逮捕者の発生︵スライドを示して︶20年前。47

Cherenkov 2023/04/30

リンク

LINEギフトで情報漏えい　8年間にわたり　ユーザーに告知も「意味が分からない」の声

LINEは4月17日、ユーザー同士でギフトを送りあえる﹁LINEギフト﹂で﹁不適切なデータの取り扱いがあった﹂と発表した。 2015年から2023年まで8年間にわたり、﹁本来、受取り主に伝えるべきではない送り主の情報が、通信内容に含まれる﹂などの問題があったという。現時点で個人情報の不正利用など二次被害は発生していない。 LINEは同日、ユーザーにメッセージを送り、詳細を記載したURLを伝えた。ただ、告知の文章が非常に長い上に専門的な内容も含まれており﹁意味が分からない﹂などの声も出ている。ギフトの受け取り主への情報漏えい告知によると、問題が発生していたのは2015年2月ごろから、2023年3月9日にわたる約8年間。2月の社内調査で発覚した。﹁誤った実装﹂が原因という。﹁ユーザーがLINEギフト上で一定の操作を行った﹂場合、ギフトを送ったユーザー情報のうち、伝えるべきでない情報が、受

Cherenkov 2023/04/17

リンク

練馬区は「取材があるまで気がつかなった」マイナカードの個人情報、住所、氏名50人分が流出 | 文春オンライン

政府が、高い安全性をうたうマイナンバーカード︵以下マイナカード︶。松野博一官房長官は、﹁マイナンバーカードは、オンラインでも確実な本人確認ができる安全安心なデジタル社会のパスポートだ﹂と語り、保険証利用、運転免許証との一体化など積極的な活用を進めている。だが、東京都の練馬区役所が誤って、マイナカード再発行者50人の住所、氏名などを利用者に手渡して流出させていたことが、﹁週刊文春﹂の取材でわかった。練馬区は﹁深くお詫び申し上げます。事故の発生を重く受け止め、再発防止に向けて取り組んでまいります﹂としている。広報パンフレットともに手渡された︿カード発行一覧表﹀政府の個人情報保護委員会の2021年度年次報告によれば、情報漏洩などのマイナンバー法違反、または違反の恐れがある事案が、1年の間に111機関、170件あった。ただし﹁いずれもマイナンバーが悪用されたとの報告は受けていない﹂と記してい

Cherenkov 2023/03/21

書類返却前に謝罪したのか？へんなの

security

リンク

安全な回転寿司の実装を考えるエンジニアたち

リンク Yahoo!ニュース他人の寿司にわさび乗せイタズラ...はま寿司が被害届提出へ投稿動画が炎上→加害者謝罪も厳正対応（J-CASTニュース） - Yahoo!ニュース他の客が注文した寿司にレーン上でわさびを乗せる、といったいたずら行為の動画がSNS上に投稿され、大手回転寿司チェーン「はま寿司」は、警察に近く被害届を出すことを2023年1月23日の取材に明らかに 285 users 1013

Cherenkov 2023/02/01

リンク

OAuth 2.0 全フローの図解と動画 - Qiita

RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。追記（2020-03-20）この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました！ 1. 認可コードフロー RF

Cherenkov 2023/01/24

リンク

Meety脆弱性 2022-11

meety_vuln.md Meety脆弱性 2022-11 文責 mala 経緯: Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。免責: 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。好ましくないが仕様だろうというものは書いていません。他の脆弱性が無いことを保証するものではないです。これはsecretgistです 11/24 時点で未修正の脆弱性情報が含まれています。修正されたらpublicに変更する予定です。近しい人向けの注意喚起と、開発元への報告を兼ねて書いています。悪用を教唆したり、悪用しそうな人に情報を共有することは避けてください。自分の所有していないアカウントの情報を書き換えると法に触れるので、そのような行為は絶対にやめてください。 11/25 Publicにしました以下 1-4

Cherenkov 2022/11/29

優しいなぁ

リンク

はてなブックマーク

タグ

関連タグで絞り込む (442)

securityに関するCherenkovのブックマーク (587)

お知らせ

今週のはてなブックマーク数ランキング（2024年6月第3週）

今週のはてなブックマーク数ランキング（2024年6月第2週）

月間はてなブックマーク数ランキング（2024年5月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス